Embed Size (px)
Citation preview
14 Blickpunkt:KMU 8/2011
Vorbereitet auf die IT-PanneNotfallkonzept
IT & KOMMUNIKATION
Autor: Andreas Wisler
Andreas Wisler (Tel.: 052 320 91 20), Dipl. Ing. FH, CISSP, ISO 27001 Lead Auditor, ist Geschäftsführer der GO OUT Produc-tion GmbH, welche sich mit ganzheitlichen und produktneutra-len IT-Sicherheitsüberprüfungen und -beratungen auseinan-dersetzt. Regelmässig veröffentlicht er einen informativen Newsletter zu aktuellen Sicherheitsthemen, der kostenlos und unverbindlich auf www.gosecurity.ch (Infonews) herunterge-laden werden kann. Im Rahmen des Swiss Security Days ist er für die Schulungen an der Klubschule Winterthur zuständig.
Zum Autor
42 Blickpunkt:KMU 1/2011
Am 9. März 2011 ist es wieder soweit, der 6. SwissSecurityDay findet statt. In der ganzen Schweiz werden verschiedene Anlässe und Sensibilisierungs-massnahmen durchgeführt. Das Schwerpunktthema in diesem Jahr ist der Umgang mit Social Media Plattformen wie Facebook. Fünf Schritte helfen dabei, die Computersicherheit auf einem hohen Niveau zu halten.
Fünf Schritte in Richtung SicherheitSwiss Security Day
Autor: Andreas Wisler
IT & KOMMUNIKATION
Andreas Wisler (Tel.: 052 320 91 20,) Dipl. Ing. FH, CISSP, ISO 27001 Lead Auditor, ist Geschäftsführer der GO OUT Produc-tion GmbH, welche sich mit ganzheitlichen und produktneutra-len IT-Sicherheitsüberprüfungen und -beratungen auseinan-dersetzt. Regelmässig veröffentlicht er einen informativen Newsletter zu aktuellen Sicherheitsthemen, der kostenlos und unverbindlich auf www.gosecurity.ch (INFONEWS) herunter-geladen werden kann. Im Rahmen des Swiss Security Days ist er für die Schulungen an der Klubschule Winterthur.
Zum Autor
Das Internet ist zu einem bedeutenden
Bestandteil unseres Alltags geworden.
Im Internet lesen wir die neuesten Nachrich-
ten, rufen Fahrpläne ab, bezahlen Rechnun-
gen oder chatten einfach mit Freunden und
Bekannten.
Neben all diesen Möglichkeiten hat uns das
Internet aber auch neue Gefahren gebracht.
Unzählige Computerschädlinge versuchen
ständig einen Weg in unseren PC zu finden,
auf welchem persönliche Daten wie Fotos,
Briefe oder wichtige Dokumente gespeichert
sind. Bei einem erfolgreichen Angriff können
Missetäter dem Computer einen grossen
Schaden zufügen, indem sie diese Daten
verändern, löschen oder die darin enthal-
tenen Informationen dazu verwenden, um
beispielsweise in Ihrem Namen oder auf Ihre
Kosten im Internet einzukaufen. Die folgen-
den fünf Schritte helfen Ihnen, die Sicher-
heit Ihres Computers zu erhöhen.
SichernDie Datensicherung ist Ihre Lebensversiche-
rung. Auf einem heutigen Computer sind im-
mense Datenberge gespeichert, auf welche
von Zeit zu Zeit zugegriffen werden soll. Lei-
der ist es nicht auszuschliessen, dass Daten
durch Fehlmanipulationen, einen techni-
schen Defekt oder auch durch Viren und
Würmer teilweise oder komplett zerstört
werden. Deshalb ist es wichtig, regelmässig
die Daten auf einen externen Datenträger
zu speichern. Dies kann beispielsweise auf
CD/DVD, einer externen Festplatte oder auf
Band erfolgen.
SchützenAktuelle Studien zeigen: Bewegt man sich
im Internet ohne aktuellen Virenscanner, ist
der Computer innert weniger Minuten mit
Schadprogrammen (Malware als Oberbegriff
für Viren, Würmer, trojanische Pferde usw.)
versucht. Daher ist es wichtig, ein Antiviren-
programm zu installieren und dies immer
aktuell zu halten.
ÜberwachenEin Antivirenprogramm kann nicht gegen
jede Malware wirken. Daher ist es notwen-
dig, auch eine Firewall einzusetzen. Aktuelle
Betriebssysteme verfügen bereits über eine
entsprechende Software. In der Regel ist es
nicht notwendig, eine weitere zu installieren
(z.B. bei Windows Vista oder Windows 7).
ITsicherheit_01011.indd 42 27.01.2011 13:17:22
Montagmorgen, 5 Uhr. Der wichtigste Server der Firma steht still. In wenigen Stunden beginnen die ersten Mitarbeiter an zu arbeiten. Nun gilt es, genau und schrittweise vorzugehen. Ein Notfallkonzept kann hier die notwendige Unterstützung liefern.
Um grössere Schäden zu begrenzen oder
diesen vorzubeugen, ist eine zügige und
effiziente Behandlung von Sicherheitsvorfäl-
len notwendig. Ein Notfallplan hat zum Ziel,
die Geschäftstätigkeit während eines Ausfalls
eines IT-Systems oder einer IT-Anwendung
aufrechtzuerhalten und sicherzustellen (Busi-
ness Continuity) sowie die Betriebsfähigkeit
innerhalb einer tolerierbaren Zeitspanne
wiederherzustellen (Business Recovery).
Dabei sind nicht nur die technischen Mass-
nahmen zum Wiederanlauf zu beachten.
Besonders wichtig ist die Planung im Vorfeld:
Im Notfall muss es Verantwortliche mit kla-
ren Kompetenzen geben. Zu einer guten Vor-
bereitung gehören ebenso Notfallschulungen
und -übungen sowie eine stetige Pflege und
Aktualisierung des Notfallplanes.
DefinitionDer Ausfall eines IT-Systems in Folge eines
Sicherheitsvorfalls kann zu einem Ausfall des
gesamten IT-Betriebs führen. Auch der Ausfall
von Komponenten der technischen Infrastruk-
tur, beispielsweise Klimaanlage oder Strom-
versorgung, kann zu Störungen des IT-Betriebs
führen. Technisches Versagen muss nicht
zwingend die Ursache für den Ausfall von
IT-Systemen sein. Ausfälle werden oft durch
menschliches Fehlverhalten oder vorsätz-
liche Handlungen (z.B. Diebstahl, Sabotage,
Viren-Angriff) verursacht. Auch durch höhere
Gewalt können hohe Schäden eintreten.
Ein Sicherheitsvorfall stellt jedoch nicht
zwangsläufig einen Notfall dar. Für einen
Notfall gilt die folgende Definition: Ein Not-
fall tritt ein, wenn ein Zustand erreicht wird,
bei dem innerhalb der geforderten Zeit eine
Wiederherstellung der Verfügbarkeit nicht
möglich ist und sich daraus ein Schaden er-
gibt (siehe dazu auch Blickpunkt KMU 4/06,
Die drei «V» im IT-Sicherheitskonzept).
Wichtig ist, dass ein Notfall-Verantwortli-
cher ernannt wird. Dieser hat die folgenden
Aufgaben:
Erstellung und Pflege des Notfallvorsorge-•
konzepts
Bewertung von Sicherheitsvorfällen•
formale Ausrufung und Beendigung des •
Notfalls
Koordination der Notfallmassnahmen•
Dokumentation des Notfalls, Erstellung •
eines Abschlussberichts
Unterrichtung der betroffenen Abteilungen •
sowie bei Bedarf der Geschäftsleitung
Zusammenstellung und Einberufung eines •
Notfall-Teams
Organisation und Vorbereitung von Notfall-•
schulungen und Übungen
Erhält im Notfall die nötigen Kompetenzen •
zur Wiederinbetriebnahme der IT (inkl.
dem dazu notwendigen Budget)
Da schnelle Entscheidungen getroffen und
Mitarbeiter vielleicht ausserhalb der norma-
len Arbeitszeit verständigt werden müssen,
könnten Massnahmen notwendig werden,
die vom normalen Arbeitsablauf abweichen
und Sonderberechtigungen erfordern. In
Notfällen müssen unter Umständen Be-
schränkungen und Sicherheitsvorkehrungen
ausser Kraft gesetzt werden, um ein Problem
schneller lösen zu können.
Die Folgen eines Ausfalls können verschie-
dene Stufen betreffen. Bei der ganzheitli-
chen Betrachtungsweise ist erkennbar, dass
Geschäftskontinuität mehr umfasst als nur
technisch bedingte Ausfälle von Ressourcen,
nämlich auch den Schutz vor Angriffen,
internen und externen kriminellen Hand-
lungen, Fehlverhalten oder menschlichem
Versagen. Alle diese Bedrohungen können
letztlich zu einer Einschränkung oder Stö-
rung einzelner oder mehrerer Geschäftspro-
zesse und des regulären Geschäftsbetriebs
bis hin zur Handlungsunfähigkeit führen.
Der Notfallprozess wird durch eine Störung
ausgelöst. Diejenige Person, welche die Stö-
rung entdeckt, meldet dies an die verantwort-
liche Person (Hinweis: es ist notwendig, eine
stets aktuelle Adressliste zu führen. Darin
08_011.indb 14 13.12.2011 12:39:35
IT & KOMMUNIKATION
Anzeige
enthalten sind alle internen und externen
Stellen, die in einen Notfall involviert sein
können. Die verantwortliche Person entschei-
det, ob es sich um einen Bagatellfall handelt
oder ob die Störung eskaliert werden muss.
Fall zwei tritt dann ein, wenn Geschäftspro-
zesse nicht mehr eingehalten werden können.
Die verantwortlichen Stellen, die aktiv
handeln oder Verantwortung übernehmen
müssen, sind zu alarmieren (z.B. Feuerwehr,
Hauswart, Administrator, IT-Sicherheitsma-
nagement).
Je nach Ausmass der Störung wird ab diesem
Zeitpunkt das komplette Sicherheitsmanage-
ment einbezogen. In einem ersten Schritt muss
eine Beweissicherung aller Systeme durchge-
führt werden. Die Lagebeurteilung definiert
die nun folgenden Sofortmassnahmen. Alle
Massnahmen, die selber und sofort getroffen
werden können, sind auszuführen (Checklis-
ten erstellen). Gleichzeitig mit den Sofortmass-
nahmen wird ein Zeitplan erstellt, in welchem
die folgenden Schritte definiert werden. Die
notwendigen Ressourcen sind sofort aufzubie-
ten. Nachdem die Sofortmassnahmen ergriffen
wurden sowie alle betroffenen Personen
informiert sind, gilt es, eine zweite Lagebe-
urteilung durchzuführen. Das Ziel ist es, die
getroffenen Sofortmassnahmen zu verfeinern
und den Weg in den Normalbetrieb in die Wege
zu leiten. Mit Hilfe der zweiten Lagebeurteilung
wird entschieden, welche Massnahmen bis zur
Lösung der Störung durchgeführt werden. Die
getroffenen Massnahmen sind zu überwachen.
Abweichungen oder neue Erkenntnisse fliessen
in die nachfolgenden Massnahmen ein. Nach
Behebung der Störung gilt es, die getroffenen
Massnahmen schriftlich festzuhalten sowie
Erkenntnisse in die vorhandenen Checklisten
einfliessen zu lassen.
Für die Notfallbehebung wird zwischen zwei
unterschiedlichen Methoden unterschieden:
Incident ManagementIm laufenden Betrieb treten in der Regel immer
wieder Fragen, Störungen und Probleme auf.
Um Beeinträchtigungen des Geschäftsbetriebs
zu minimieren und die Geschäftskontinuität
aufrecht zu erhalten, muss der Umgang mit
derartigen Ereignissen definiert und umgesetzt
sein. Ziel muss es sein, das jeweilige Ereignis
kurzfristig zu lösen, und sei es auch nur durch
einen Reset oder in Form eines Workarounds.
Es geht also nicht um Ursachenforschung und
-behebung, sondern um Schnelligkeit.
Problem ManagementProbleme gehören zum Lebenszyklus von
Prozessen und Ressourcen. Regelmässige
Reviews sollen diese frühzeitig erkennen und
Massnahmen definieren, bevor es im Betrieb
zu Problemen oder Beeinträchtigungen
kommt. Probleme zu erfassen, zu untersuchen
und eine langfristige Lösung zu suchen ist die
Aufgabe des Problem-Managements. Wichtig
dabei ist, bei Problemen und Notfällen eine
schnelle und akzeptable Lösung zu finden
und diese in einem zweiten Schritt genau zu
untersuchen sowie Massnahmen zu deren
Behebung zu definieren und umzusetzen.
9300
08_011.indb 15 13.12.2011 12:39:42
